Питање ревизије промена у Ацтиве Дирецтори-у је изузетно релевантно у великим доменским инфраструктурама у којима су права на разне компоненте за управљање активним директоријумом делегирана широком кругу људи. У претходном чланку смо углавном говорили о постојећим подешавањима политике групе која вам омогућавају да вршите ревизију промена у Ацтиве Дирецтори-у. Данас смо размотрили методологију за одржавање и праћење промена које су извршили корисници у АД безбедносним групама. Наоружан овом техником администратор домена може пратите стварање, уклањање АД група, такође корисник додавање / уклањање догађаја у ове групе.
Подразумевано, контролери домена већ имају политику прикупљања информација о променама у групама Ацтиве Дирецтори, али бележе се само успешни покушаји промене..
Омогућујемо присилно бележење свих догађаја о променама у групама Ацтиве Дирецтори користећи групне политике. Да бисте то учинили, отворите конзолу за управљање Гроуп Полици Манагер, пронађите и уредите политику Подразумевано Домен Цонтроллер Политика (подразумевано се ова смерница односи на све контролере домена).
Напомена. Праћење догађаја ревизије група безбедности домена има смисла само на контролерима домена.
Пређимо на следећи одељак ГПО-а: Конфигурација рачунара-> Политике-> Подешавања Виндовс-> Подешавања сигурности-> Напредна подешавања Политика ревизије-> Политика ревизије -> Управљање рачуном. Занима нас политика Управљање Сигурносном групом ревизије.
Отворимо политику и уредимо је, указујући да ће бити прикупљена као успешна (Успех) и неуспешно (Неуспјех) промену догађаја у групама за безбедност домена.
Остаје чекати на примену модификованог ГПО-а на контролерима домена или извршити ручно ажурирање ГПО-а помоћу команде
гпупдате / форце.
Можете погледати прикупљене ревизијске догађаје у безбедносном дневнику. Ради практичности креираћемо одвојени приказ дневника догађаја. Да бисте то учинили, изаберите ставку у конзоли Виндовс Евент Виевер помоћу контекстног менија Креирајте Цустом Виев.
У прозору опција филтрирања приказа одредите:
Дневником - „Сигурност“
Укључује / искључује ИД-ове догађаја - Занимају нас догађаји са следећим догађајимаИДИД: 4727, 4728, 4729, 4730, 4731, 4732, 4733, 4734, 4735, 4737, 4754, 4755, 4756, 4757, 4758, 4764.
Напомена. Прикупили смо све ИД-ове догађаја који одговарају различитим променама у безбедносним групама АД. На пример,
ИД 4727 - догађај стварања групе
ИД 4728 - догађај додај корисника у групу
ИД 4729 - догађај уклони корисника из групе
ИД 4730 - догађај брисања безбедносне групе
По жељи можете филтрирати филтре финије, остављајући само занимљиве догађаје.
Сачувајте промене и на пример наведите име приказа Измене групе ревизија.
За експеримент додајте (помоћу АДУЦ конзоле) корисника ЈЈонсон у групу домена Нетворк Админс. Затим отворимо и ажурирамо приказ који смо створили.
Као што видите, у њему се појавило неколико нових догађаја..
Отварањем било којег догађаја можете детаљније видети информације о променама. Отворите догађај помоћу ЕвентИД-а 4728. По његовом садржају је видљиво. тај корисник дадмин је додао ЈЈонсон кориснички налог групи Нетворк Админс
Предмет: Безбедносни ИД: цорп \ дадмин Назив рачуна: дадмин
Домен налога: цорп
ИД за ИД: 0к85А46579
Члан:
Сигурносни број: цорп \ ЈЈонсон
Име рачуна: ЦН = ЈЈонсон, ОУ = корисници, ОУ = рачуни, ДЦ = цорп, ДЦ = лоц
Група:
Безбедносни ИД: цорп \ Нетворк Админс
Назив групе: Мрежни администратори
Домена групе: цорп
Ако је потребно, можете да повежете потребне ИД-ове догађаја да бисте аутоматски слали обавештења е-поштом безбедносним администраторима путем окидача догађаја.
